RSA2017前瞻：安全分析和操作

到目前為止，我已經寫了兩篇部落格談我對下週RSA安全大會的期望。第一篇部落格是關於端點安全的前景，第二篇則是關注網路安全。

我現在也正在進行一個關於安全分析和操作的大型研究專案，我相信很多獨立技術將被整合到一個全面的架構中，ESG稱這個架構是SOAPA（即安全操作和分析平臺架構）。

考慮到SOAPA，下面是我期待在RSA大會上看到的：

1、網路安全資料無處不在。網路安全分析和操作過去主要是基於幾個主要資料來源：日誌檔案和事件。應用、資料庫、網路、安全和系統日誌現在得到了大量其他資料來源的補充——端點和網路行為資料、威脅情報資料、惡意軟體分析、社交網路資料等等。

事實上，我之所以期待看到安全分析和操作架構的原因純粹是當下被捕獲、處理和分析的安全資料量正在大量增長。其中很多資料仍然是分散式的，而安全分析和操作工具必須擁有跨所有這些領域的可見性、知識和決策能力。這意味著SOAPA將是一種以事件為驅動的軟體架構（想象一下SOA 2.0），具有高度分散式的資料管理基礎設施。我希望聽到廠商們談談他們對這種架構的想法和計劃。

2、SIEM還在。多年來我一直聽到“SIEM已死”這樣的說法，但我仍然不認同這種說法。我想說的是，SIEM正在發展中。例如，AlienVault是一個完整的操作和分析平臺。IBM以對QRadar進行了擴充套件，支援AppExchange和Resilient用於事件響應。LogRhythm增加了自己的主機代理和網路安全分析，Splunk收購了Caspida獲得UBA，在自適應響應方面也做了很大努力。

雖然這些廠商都在尋求擴大覆蓋面，但真正發生的是，SIEM功能正在擴充套件成為一系列互連的功能、模組和服務，換句話說，就是一個軟體架構。所有領先的SIEM廠商都需要確保他們的產品是為開放和整合而開發的，同時推動創新和併購活動，因為他們都在努力成為SOAPA的中心，用於連線合作夥伴提供的大量連線選項。

3、威脅情報日趨成熟。威脅情報在之前的RSA大會上很火，但是關注點是圍繞資訊的，而不是如何利用威脅情報分析並從中獲益。2017年，這個話題都是關於情境化、操作和綜合威脅情報，從而我們看到像FlashPoint、Lookingglass、Record Future、ThreatConnect、ThreatQuotient等廠商推出了一系列創新的威脅情報平臺和工具。我期待聽到這些威脅情報廠商是如何致力於幫助組織機構解決新型業務風險問題，以及純網路安全學科例如滲透測試、“狩獵”、事件響應等。

4、關於事件響應的持續熱烈討論。談到事件響應，在過去的12個月中事件響應自動化和排程表現出顯著的發展勢頭。此外，與我交流過的企業組織現在都願意拋棄自己開發的軟體，採用來自像FireEye、Hexadite、IBM（Resilient）、Phantom、ServiceNow和Siemplify的商用工具。我想了解事件響應自動化和排程的成熟情況。重點更多的是在自動化上還是排程上？企業組織應該從哪裡開始做起？過程是如何的？在這個過程中人的角色是什麼，這些角色是如何改變的？

5、關於機器學習的炒作和現實情況。我預測，人工智慧和機器學習將是今年RSA大會上的熱門話題。每個人都在談論它，但是沒有人能真正說清楚，讓安全專業人員瞭解人工智慧和機器學習能幹什麼、適合什麼地方。

在我看來，機器學習應該被視為一個智慧的防禦層，可以實現某些特定分析行為的自動化並加速這些行為。換句話說，今天機器學習還有一些侷限性，但是這並不意味著它在適當的用例中就一點用處都沒有。有哪些用例？這就是我希望在今年RSA大會上探索的，像Darktrace、E8、Exabeam、Vectra、Securonix以及Sqrrl這些廠商。

6、服務、服務、服務。據ESG的研究，有45%的組織機構將在2017年遇到網路安全技能短缺的問題。這意味著有近一半的組織機構可能並沒有他們自己的網路安全人員或者人才庫來管理安全分析和操作。有哪些服務提供商填補這個空白？這是我希望在今年RSA大會上了解的。我知道現在有像BT、CSC、CrowdStrike、FireEye、Unisys、SecureWorks和賽門鐵克都在服務領域做得不錯，但是我希望進一步瞭解其中哪些廠商或者其他哪些安全網路廠商可以繃住組織機構解決安全分析和操作的各方面要求。

我即將前往RSA大會，迫切地希望瞭解更多關於安全分析和操作的現在和未來，不見不散！

原文釋出時間為： 2017年2月9日

本文作者：Jon Oltsik

本文來自雲棲社群合作伙伴至頂網，瞭解相關資訊可以關注至頂網。